암호화 백도어 설명
암호화는 정보 시대에 가장 중요한 주제 중 하나입니다. 어디에 로그인을 할 때마다, 비밀번호를 해시된 값과 비교하여 계정에 인증할 수 있는지 여부를 판단하는 알고리즘이 존재합니다. 이 방식은 해커를 막기 위한 것입니다. 그럼, 당신을 안전하게 지켜주어야 할 알고리즘에 특정인들에게 접근을 허용하는 백도어가 있다면 어떻게 될까요?
2015년 5월 19일, 애플과 구글은 미국 대통령 버락 오바마에게 민간 기술 기업들이 자신의 암호 알고리즘에 백도어를 포함하도록 강요하는 것을 재고해 달라고 촉구했습니다. 저는 이것이 기술 소비자로서 우리에게 어떻게 영향을 미치는지와 해당 기술을 제공하는 기업들의 수익에 어떤 영향을 미치는지 설명하고자 합니다.
약간의 역사: Dual_EC_DRBG
“Dual_EC_DRBG”라는 용어가 당신에게 신비로운 말로 들릴 수도 있지만, 이는 암호화 기술 역사상 가장 큰 스캔들 중 하나와 연관된 용어일 수 있습니다. 우리의 이야기는 2000년대 초로 거슬러 올라갑니다. 그 당시 타원 곡선 암호화가 컴퓨터 시스템에 자리잡기 시작했을 때입니다. 그때까지 무작위 숫자를 생성하는 것은 고유한 예측 가능성 때문에 어려운 일이었습니다. 사람들은 모두 다르게 생각하기 때문에 매우 효율적으로 무작위 숫자를 생성할 수 있습니다. 1에서 100,000 사이의 숫자가 지금 제가 생각하는 숫자라는 것을 맞출 수 있습니까? 무작위로 추측한다면 정답을 맞힐 확률은 1:100,000입니다. 컴퓨터는 이와는 다릅니다. 컴퓨터는 일반적으로 고정된 값에 의존하여 “결론”에 도달하기 때문에 이를 수행하는데 정말 서투릅니다. 그들은 “생각”할 수 없기 때문에, 우리는 그들을 위해 과정을 합성해야 합니다. 타원 곡선 암호화는 무작위 숫자를 생성하는 과정을 기존 방법보다 훨씬 덜 예측 가능하게 만듭니다.
이야기로 돌아가 봅시다. 국가안보국(NSA)은 이러한 숫자를 생성할 수 있는 가능성으로 Dual_EC_DBRG라는 모듈을 추진했습니다. 그러나 이것은 통과되지 않았습니다.
하지만 여기서 끝나지 않습니다. 2004년 NSA는 RSA 암호 시스템 제작자들과 1천만 달러의 거래를 하여 그들의 모듈을 RSA의 기본값으로 설정하기로 했습니다. NSA가 백도어를 포함했는지는 알 수 없지만, Dual_EC_DRBG는 확실히 하나를 가지고 있었습니다. NSA가 RSA 암호화에 이 모듈을 포함하기 위해 그렇게 집요했다는 사실은 사전 지식에 대한 주장을 더욱 약화시킵니다.
2015년으로 빨리 감아보면, 이제 미국 정부는 물론 전 세계 다른 정부들이 민간 기업들에게 그들의 암호화 알고리즘에 백도어를 포함하도록 요청하고 있습니다.
백도어가 모두에게 나쁜 이유
백도어가 나쁜 이유에 대한 아이디어를 이미 가지고 있을 수도 있습니다. 이건 명백한 것이죠, 맞습니다? 문제는 정부 기관에 의한 개인정보 침해 외에도 암호에 백도어를 도입함으로써 발생하는 보이지 않는 다른 결과들이 있다는 것입니다.
첫째, 해커가 백도어를 발견한다면 (이는 앞서 언급한 Dual_EC_DBRG의 참사 시작 방식과 정확히 같습니다), 누구나 이를 악용하여 당신에게 매우 사적인 것을 엿볼 수 있다는 것을 확신할 수 있습니다.
백도어가 끔찍한 두 번째 이유는 질문의 형태로 표현할 수 있습니다: 정부만이 아니라 어떤 존 도(Jane Doe)가 당신의 개인 데이터에 접근할 수 있다는 것을 알게 된다면, 당신은 다시는 어디에서든 계정을 열 수 있을까요? 사람들은 지금 기술에 의존하고 그것을 신뢰합니다. 신뢰를 제거하면 기업 시장에서 고객이 매우 적어질 것입니다. 맞습니다, 소비자들은 여전히 암호화된 연결 기술을 사용할 수 있지만, 기업들은 대거 이탈할 것입니다. 우리 좋아하는 많은 제조업체들은 비즈니스 대 비즈니스 고객 기준에 크게 의존하고 있습니다.
따라서 이 아이디어는 소비자에게뿐만 아니라 우리가 좋아하는 것들을 제공하는 기업의 수익에도 나쁜 것입니다. 그래서 애플과 구글 같은 거대 기업들이 이러한 정책에 대해 매우 우려하는 것입니다.
우리는 무엇을 해야 할까요? 이런 법안이 정말 시행 가능한 것일까요? 댓글로 알려주세요!
